True Story: ein Betrugsfall mit Verified by Visa!)

ard Securecode und Verfied by Visa sind Maßnahmen der Kreditkartenhändler um Kreditkartenzahlungen sicherer zu gestalten. Doch Wissen (Kartennummer) + Wissen (VBV-Passwort) ist kein substanzieller Sicherheitsgewinn – eine True Story von cryptoshop.com Lesen Sie, was wir erlebt haben und warum wir das von unseren Kunden nicht mehr verlangen wollen. Erfahren Sie mehr ...

Mastercard Securecode und Verfied by Visa sind Maßnahmen der Kreditkartenhändler um Kreditkartenzahlungen sicherer zu gestalten. Doch Wissen (Kartennummer) + Wissen (VBV-Passwort) ist kein substanzieller Sicherheitsgewinn – eine True Story von cryptoshop.com Lesen Sie, was wir erlebt haben und warum wir das von unseren Kunden nicht mehr verlangen wollen.

Verified by Visa (VBV) und Mastercard SecureCode ist für Online-Händler grundsätzlich eine gute Sache, der Händler bekommt nämlich eine Zahlungsgarantie für die durchgeführten Transaktion. Für den Kreditkartenbesitzer mit VBV hingegen weniger. Für die Sicherheit, dass bei diesen Händlern mit seiner Kartennummer nicht ohne Passwort eingekauft werden kann, kann er solche Zahlungen nicht mehr abstreiten. Wenn man also sicher mit seinem Passwort umgeht und seinen Rechner schützt, dann hat man einen Sicherheitsgewinn, sonst nicht. Man hat es also selbst in der Hand - fast.

Verified by Visa und Mastercard Securecode – für die Sicherheit ist man selbst verantwortlich!

Nun sind die ausgebenden Banken dazu übergegangen, die früher freiwillige Aktivierung, auf zwangsweise Aktivierung umzustellen. Im Konkreten nennt sich dies "Pre-Enrolled Karten". Beim ersten Händler der diese Zahlungen annimmt, wird die Anmeldung vervollständigt und fertiggestellt. Dazu braucht man üblicherweise weitere (persönliche) Daten, z.B. üblicherweise von früheren Abrechnungen. Bloß die hat man halt oft nicht zur Hand wenn man online einkauft. Je nach Vorgabe der Bank kann die Aktivierung dann noch umgangen werden, oder man kann schlicht nicht zahlen. Schlecht für den Händler, der neben entgangenem Geschäft auch noch den Ärger der Kunden abbekommt. Denn er ist der einzig Greifbare in diesem Spiel, hat aber selbst keine Einflussmöglichkeit, denn die Aktivierungsseiten kommen nicht vom Händler sondern von „VISA“ bzw. „MASTERCARD“ selbst. (Anm. von wem diese in der Prozesskette im einzelnen Fall tatsächlich kommen, ist uns unbekannt.)

Nun begab es sich bei uns, dass wir eine Bestellung eines französischen Kunden hatten, bezahlt mit Verified-by-Visa. Kurz nach Abbuchung der Transaktion meldete sich eine uns unbekannte, niederländische Firma mit der Behauptung, diese Transaktion sei betrügerisch und forderte sehr frech die sofortige Rückbuchung des Betrages - von dem wir ja eine Garantie hatten.

Wir stoppten mal die Auslieferung und versuchten herauszufinden was denn da passiert ist. Sowohl unser Payment Provider als auch der Acquirer bestätigten, dass diese Transaktion eine Verified-by-Visa Zahlung war.

Schließlich kann uns die holländische Firma, als (angeblicher) Kartendienstleister für Banken, mehr Details zur Karte liefern, als der vermeintliche Kunde, der einen Rückzieher macht. Obwohl wir keinen wirklichen, hieb- und stichfesten Beweis bekommen haben, steht für uns fest, dass hier eine betrügerische Aktion vorlag, und wir buchen den Betrag zurück, wir hatten ja auch noch nichts verschickt und damit keinen Schaden außer der investierten Zeit. Aber Moment!! Das war doch eine Verified-by-Visa Zahlung! Wie geht das denn?

Wir bitten also, das holländische Unternehmen um eine Erklärung, wie diese Zahlung zustande gekommen ist. Die kommt auch, schockiert uns aber mächtig. Es wurde erst vor kurzem begonnen Pre-Enrolled Karten auszugeben, und offenbar waren der oder die Betrüger in der Lage sich ein Verified-by-Visa Passwort auszurollen, sprich die Anmeldung zu vervollständigen. Das bedeutet, der/die Betrüger hatten alle weiteren erforderlichen Daten (woher?), oder der Prozess ist dort fehlerhaft aufgesetzt worden!

Whoa, die PRE-ENROLLED Karte ist eine Bombe.

Wenn dem so ist, dann sitzt jeder, der eine "Pre-Enrolled Karte" besitzt auf einer kleinen Bombe. Ein Betrüger könnte sich ein Passwort aussuchen, und der rechtmäßige Besitzer kann die Transkation nicht mal abstreiten, wenn sie auf der Abrechnung erscheint. Als Betroffener kann ich natürlich die Funktionalität selbst sperren, indem ich gleich beim nächsten Händler absichtlich mehrfach ein falsches Passwort eingebe. (Eine „richtige“ von Betrüger würde ich ja eh nicht kennen) Das kann mir aber auch jederzeit ein anderer für mich tun – der meine Kreditkartennummer kennt, und mich ärgern will oder zum „Passwort-Reset“ zwingen will. Man nennt so ein Vorgehen üblicherweise „Denial-of-Service“.

Gut dann kann ich als Betroffener, aber bei bestimmten Händlern, den VBV/Securecode Händlern, gar nicht mehr einkaufen, denn die Zahlung wird sofort abgelehnt. Schlecht für Kunden und Händler! Hilft aber eh nichts, denn ein Passwort Reset läuft ähnlich der Anmeldung ab. Haben die Betrüger die notwendigen Daten, muss ich davon ausgehen, dass sie sich das Passwort auch zurücksetzen können.

Als Betroffener kann man VBV oder SecureCode also nur kündigen um sich davor zu schützen. Etwas dass der Autor tun wird, als Händler wollen wir unsere Kunden auf ein solches System nicht zwingen, und haben es deaktiviert! Etwas mehr Risiko für uns als alles auf dem Rücken der Kunden. Wir entschuldigen uns bei allen Kunden bei denen wir Handlanger dieses Systems waren!

Und liebe Kreditkartenfirmen: SET (Secure Electronic Transaction) habt ihr vor Jahren sterben lassen. Vielleicht wäre es Zeit den Chip der Karten zu nutzen, das cryons Team hätte da schon eine Technologie, die bisher nur für Authentisierung und Signatur eingesetzt wird, aber eine EMV Transaktion ließe sich genauso realisieren. Ganz einfach anrufen – unter unseren neuen Nummer +43 (1) 355 53

Den Namen, die Lieferadresse und Telefonnummer, die der Betrüger bei uns angegeben hat, wollte übrigens keiner von uns wissen!

Euer cryptoshop.com

=